DNS Spoofing

DNS Spoofing

추가 DNS Spoofing 시연 영상

https://www.youtube.com/watch?v=w1m3Riten_A

DNS는 UDP를 사용합니다. 따라서 별도의 인증이 없습니다.

DNS는 cache부터 확인을 하고 hosts파일, query순으로 확인을 하게 됩니다.

실습환경

Window7 : 10.10.10.10

kali : 10.10.10.20

centos : 10.10.10.30

Centos에 웹서버를 실행시킵니다.

================================================================

먼저 공격자는 ARP Spoofing으로 스니핑환경을 만들어야 합니다.

arpspoofing명령어 + fragrouter 명령어를 이용하거나

ettercap 명령어를 사용하면 됩니다.

ettercap -M arp -T /10.10.10.10/ /10.10.10.254/

arpspoofing이 되고 있는지 확인하기 위해서 window에서 arp table을 확인해보면 라우터와 centos가 모두 kali의 주소로 되어있으면 성공한 것입니다.

그 후 kali에서 apache를 시작해 줍니다.

기본 페이지입니다

그리고 참조할 문서를 만들어 줍니다. 저의 경우 구글, 네이버, 테스터라는 것으로 만들었습니다. 

만든 파일과 dnsspoof명령어를 이용하여 spoofing을 합니다.

spoofing을 하고 나서 window7에서 nslookup을 통하면 10.10.10.30(centos가 구글과 네이버, 테스터인 것을 확인할 수 있습니다.)

                 

window7에서 네이버, 구글, 테스터로 접속하면 공격자가 만든 페이지가 나오게 됩니다.

wireshark를 확인해보면 공격자가 응답하는 것을 알 수 있습니다.

방어 or 탐지법

1.arp table에서 MAC 주소의 중복 여부를 확인합니다.

2.wireshark에서 나왔듯이 트레픽을 지속적으로 감시합니다.

3.gateway의 MAC주소를 static으로 고정합니다.